[发明专利]一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统

权利要求书

1.一种蜜罐系统服务自适应的方法，其特征在于，包括以下步骤：

S100：监测攻击源对伪装服务的攻击扫描，判断监测到的攻击是否为真人攻击：

如果是真人攻击，再判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址：

如果不是基站IP地址或移动数据网公共出口IP地址，则发送攻击源IP地址到前端探测节点，同时激活前端探测节点执行步骤S200；

如果是基站IP地址或移动数据网公共出口IP地址，则将攻击诱导至蜜罐服务系统，并跳转至步骤S100，继续监控攻击；

如果不是真人攻击，则将攻击诱导至蜜罐服务系统，并跳转至步骤S100，继续监控攻击；

S200：前端探测节点对攻击源主机进行主动探测，获取攻击源主机信息；

S300：前端探测节点将获取的攻击源主机信息发送至蜜罐数据分析系统；

S400：蜜罐数据分析系统判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配：

如果匹配，则跳转至步骤S100，继续监控攻击；

如果不匹配，则发送判断结果给蜜罐部署执行系统，执行步骤S500；

S500：蜜罐部署执行系统判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块：

如果存在与攻击源主机开放的服务及端口匹配的伪装服务模块，则下发伪装服务模块及执行脚本至蜜罐服务系统，执行步骤S600；

如果不存在与攻击源主机开放的服务及端口匹配的伪装服务模块，则前端探测节点恢复静默状态，并跳转至步骤S100， 继续监控攻击；

S600：蜜罐服务系统运行接收到的脚本，安装伪装服务，并更改第二蜜罐的伪装服务和端口，将攻击源诱导到与其匹配的第二蜜罐中，并跳转至步骤S100，继续监控攻击；

步骤S600具体包括：

蜜罐服务系统运行接收到的脚本，安装伪装服务模块提供的伪装服务；

将蜜罐服务系统内的第二蜜罐内开启的服务及端口修改为与攻击源主机匹配的服务及端口；

在攻击源当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索，将攻击源诱导到第二蜜罐。

2.根据权利要求1所述的蜜罐系统服务自适应的方法，其特征在于，步骤S100中，判断是否为真人攻击包括：

判断攻击源IP地址对蜜罐服务系统扫描频率：

如果扫描频率小于预设的扫描频率阈值，则认为是真人攻击；

如果扫描频率大于等于预设的扫描频率阈值，则认为是机器自动化程序扫描。

3.根据权利要求1所述的蜜罐系统服务自适应的方法，其特征在于，步骤S200中，所述前端探测节点对攻击源主机进行主动探测，获取攻击源主机信息包括如下步骤：

S201：前端探测节点将接收到的攻击源IP地址输入到预设脚本并自动执行脚本，通过nmap、nc和socket中任一工具对攻击源进行0-65535全端口扫描；

S202：前端探测节点将获取到的攻击源主机信息通过加密传输隧道回传到蜜罐数据分析系统；

S203：完成扫描后，前端探测节点恢复静默状态。

4.根据权利要求3所述的蜜罐系统服务自适应的方法，其特征在于，步骤S201中将预设脚本的IP地址字段修改为输入的攻击源IP地址，所述预设脚本设定为全端口扫描探测。

5.根据权利要求1所述的蜜罐系统服务自适应的方法，其特征在于，攻击源主机信息包括IP地址、开放的服务、开放的端口、攻击源主机的操作系统环境及操作系统版本。

6.根据权利要求1所述的蜜罐系统服务自适应的方法，其特征在于，步骤S100中判断是否为基站IP地址或移动数据网公共出口IP地址包括：将攻击源IP地址地址输入到全球IP地址数据库中判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址。